Artigo: 833783 - Última revisão: sexta-feira, 16 de Março de 2007 - Revisão: 1.3

A ferramenta Dcgpofix não restaura as definições de segurança na política predefinida de controlador de domínio para o estado original

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Reduzir tudo

Sintomas

A documentação para a ferramenta de Dcgpofix.exe indica incorrectamente que a ferramenta Dcgpofix irá restaurar definições de segurança na política predefinida de controlador de domínio o mesmo estado que se encontravam imediatamente após Dcpromo concluído com êxito. Não for este o caso.

É aconselhável utilizar a ferramenta Dcgpofix apenas em cenários de recuperação de desastres. A operação Dcpromo modifica a segurança do domínio de uma forma incremental, com base nas definições de segurança existentes nesse servidor. Por conseguinte, depois de executar Dcpromo, o conjunto final de definições de segurança na política predefinida de controlador de domínio depende a operação Dcpromo e o estado de segurança do sistema que existiam antes de executar Dcpromo. Antes de executar Dcpromo, o estado de segurança do sistema pode ser modificado por um número de mecanismos. Por exemplo, quando instala algumas aplicações de servidor, podem ser efectuadas alterações direitos de utilizador que são concedidos a contas de utilizador local, tais como a conta SUPPORT_388945a0.
Voltar ao topo

Causa

A ferramenta Dcgpofix não é possível saber o estado de segurança definições existiam no antes de executar Dcpromo. Por conseguinte, a ferramenta Dcgpofix não pode devolver as definições de segurança com precisão ao estado original. Em vez disso, a ferramenta Dcgpofix recria os objectos da dois predefinição política de grupo (GPO, Group Policy Objects) e cria as definições baseadas em operações que são executadas apenas durante Dcpromo.

Se tiver uma nova instalação do Microsoft Windows Server 2003 e não segurança são efectuadas alterações ao sistema operativo antes de executar Dcpromo, o recriar Default Domain Controller Policy criado por Dcgpofix será praticamente o mesmo que a política predefinida de controlador de domínio apenas depois de executar Dcpromo. No entanto, haverá algumas diferenças nas definições de política predefinida de controlador de domínio neste caso.
Voltar ao topo

Resolução

Para cópia de segurança geral e de restauro da política predefinida de domínio e política predefinida de controlador de domínio e também para outros GPOs, a Microsoft recomenda que utilize a GPMC (Group Policy Management Console) para criar cópias de segurança regulares destes GPOs. Pode, em seguida, utilizar a GPMC em conjunto com estas cópias de segurança para restaurar as definições de segurança exacta contidos nestes GPOs.

Para obter mais informações sobre a GPMC, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)
Se estiver num cenário de recuperação de desastres e não tem quaisquer versões de cópia de segurança de política de domínio predefinida ou política predefinida de controlador de domínio, talvez seja melhor utilizar a ferramenta Dcgpofix. Se utilizar a ferramenta de Dcgpofix, a Microsoft recomenda que assim executá-lo, reveja as definições de segurança estes GPOs e ajustar manualmente as definições de segurança de acordo com os requisitos. Uma correcção não está agendada para ser libertado porque a Microsoft recomenda que utilize a GPMC para cópia de segurança e restaurar todos os GPOs no seu ambiente. A ferramenta de Dcgpofix é uma ferramenta de recuperação de desastres que irá restaurar o ambiente para um estado funcional. É melhor não utilizá-la como uma substituição para uma estratégia de cópia de segurança utilizando a GPMC. É melhor utilizar a ferramenta Dcgpofix apenas quando um GPO para a política predefinida de domínio e a política predefinida de controlador de domínio não existe.
Voltar ao topo

Mais Informação

A tabela seguinte lista diferenças nas definições de segurança na política predefinida de controlador de domínio depois de executar a ferramenta Dcgpofix e as definições numa nova instalação do Windows Server 2003 depois de executar Dcpromo. A Microsoft recomenda que ajustar estas definições de segurança para corresponderem aos requisitos do seu ambiente depois de executar a ferramenta Dcgpofix.

Reduzir esta tabelaExpandir esta tabela
Definir predefinido a política de controlador de domínioValor depois de executar DCPromo correctamente no sistema do Windows Server 2003 instaladoValor depois de executar o comando DCGPOFIX
definições de auditoria
Gestão de contas de auditoriaCom êxitoSem auditoria
Serviço de acesso a directórios auditoriaCom êxitoSem auditoria
Alteração de políticas de auditoriaCom êxitoSem auditoria
Eventos do sistema de auditoriaCom êxitoSem auditoria
direitos de utilizador
Criar objectos globaisNão definidoSERVIÇO, de administradores
Negar acesso a computador a partir da redeSUPPORT_388945a0(Vazio)
Negar início de sessão localSUPPORT_388945a0(Vazio)
Representar um cliente após autenticaçãoNão definidoSERVIÇO, de administradores
Carregar e descarregar controladores de dispositivoAdministradores, operadores de impressãoAdministradores
Iniciar sessão como tarefa batchSERVIÇO LOCAL, SUPPORT_388945a0(Vazio)
Iniciar sessão como um serviçoSERVIÇO DE REDE(Vazio)
Encerrar o sistemaAdministradores, operadores de cópia de segurança, operadores de servidor, operadores de impressãoConta operadores, administradores, operadores de cópia de segurança, operadores de servidor, operadores de impressão


As seguintes definições irão alterar depois de executar a ferramenta Dcgpofix:
  • AuditAccountManage
  • AuditDSAccess
  • AuditPolicyChange
  • AuditSystemEvents
  • SeCreateGlobalPrivilege
  • SeImpersonatePrivilege
  • SeLoadDriverPrivilege
  • SeShutdownPrivilege
Com base nas opções de configuração, as definições seguintes: podem também alterar o seguinte:
  • SeBatchLogonRight (apenas LOCAL SERVICE, não a conta SUPPORT_388945a0)
  • SeServiceLogonRight
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Voltar ao topo
Palavras-chave: 
kbmt kbwinservds kbwinservperf kbmgmtservices kbinfo KB833783 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 833783  (http://support.microsoft.com/kb/833783/en-us/ )
Voltar ao topo